arXiv:1506.03830vl [cs.CR] llJun2015 


Ciberseguridad Inteligente 


Juan Manuel R. Mosso 


Bacchuss, Division Ciberdefensa 
Sarmiento 537 PB B., 2000 Rosario, Santa Fe, Argentina 
jmanuelQbacchuss.com.ar 
http://www.bacchuss.com.ar 


Resumen Los modelos de negocios en la economia moderna poseen una 
fuerte dependencia del ciberespacio. Esta situacion plantea escenarios de 
riesgo de seguridad debido a la cada vez mayor cantidad de vulnera- 
bilidades y al incremento en la frecuencia y en la sofisticacion de los 
ciberataques, especialmente con el advenimiento de amenazas avanzadas 
con caracteristicas de persistencia conocidas como APT. El presente tra- 
bajo presenta un modelo de Ciberseguridad Inteligente (CSI) destinado 
a detectar, denegar, interrumpir, degradar, engahar y destruir las capa- 
cidades del adversario en el ciberespacio. Esto se logra por medio del 
desarrollo conceptual y tecnico de una Capacidad de Ciberinteligencia 
(CCI) cuyo objetivo es el de interferir las capacidades de planificacion y 
operacion del adversario, penetrando sus bucles de decision con la veloci- 
dad necesaria, a fin de lograr su desplazamiento a una postura reactiva. 
Einalmente, a diferencia de los modelos de ciberseguridad planteados 
clasicamente, el concepto de CSI sugiere que la ventaja en un escena- 
rio de conflicto puede ser obtenida por el defensor y no siempre por 
el atacante. Como sustento teorico se presentan el ’’Modelo de Sistema 
Ofensivo de Referencia” (MSOR), el cual es utilizado para pensar a la 
ciberseguridad de manera integral, a todo nivel, desde una perspectiva 
coordinada y sincronizada con el resto de las areas con responsabilidades 
direct as o indirect as en temas de ciberseguridad. Einalmente se esboza 
una justificacion del modelo planteado desde la perspectiva moderna de 
los sistemas de control. El presente trabajo resulta de especial interes pa¬ 
ra organizaciones de los sectores publico y privado vinculadas al sistema 
de infraestructura crftica nacional. 

Palabras clave: Ciberseguridad, ciberdefensa, ciberinteligencia, inteli- 
gencia, defensa nacional, infraestructura crftica. 


1. Introduccion 

Las organizaciones publicas y privadas modernas poseen una fuerte depen¬ 
dencia del ciberespacio como sustento de sus modelos de negocio. Esta situacion 
plantea escenarios de riesgo de seguridad debido a la cada vez mayor cantidad 
de vulnerabilidades y al incremento en la frecuencia y en la sofisticacion de los 
ciberataques dirigidos contra componentes de infraestructura crftica que no re- 
conoce fronteras entre lo civil y lo militar, lo publico y lo privado, lo local y lo 
transnacional. 


Esta realidad, marcada por el amplio uso del ciberespacio, por su complejidad 
y dinamismo, responde a la revolucion que posibilito el inicio de la transforma- 
cion del comercio internacional a partir de la decada de 1980 como respuesta 
a limitaciones tecnologicas fundamentales existentes al momento. En la actuali- 
dad, todo modelo de negocio surge de la interconexion a varies niveles de diversos 
componentes en lo que puede pensarse como una forma de Comercio Centrado 
en Redes (CCR) 6 en la economia de Internet. La esencia de la transformacion 
se sustento inicialmente en el concepto de que la informacion puede ser trans- 
formada en una ventaja competitiva para lograr la superioridad y el liderazgo 
comercial. El concepto de CCR ha infiuenciado profundamente la manera de 
hacer negocios alrededor del mundo. 

Despues de dos decadas de evolucion, la economia de Internet parece estar en 
jaque debido a la tematica de seguridad. Mas aiin, la ciberseguridad se ha conver- 
tido en la principal amenaza al comercio en el ciberespacio por lo que las naciones 
del mundo se enfrentan a la necesidad de dar respuesta a la problematica, no 
solo desde lo tecnologico, sino desde lo politico y lo legal. Esta nueva realidad 
queda evidenciada por diferentes eventos mundiales como lo muestra la Organi- 
zacion para la Cooperacion y el Desarrollo (OECD) [T], la presentacion de Enero 
de 2014 de Toomas Hendrik lives, presidente de Estonia, en la Conferencia de 
Seguridad de Munich [2], y los articulos de Lucas Kello [3] y de Erik Gartzke 
[4] en el MIT Press Journal de Seguridad Internacional de 2013. En este contex- 
to, y con el fin de garantizar la continuidad de las operaciones de los diferentes 
sistemas que dan soporte al comercio de Internet se propone el desarrollo del 
concepto Ciberseguridad Inteligente (CSI). Este se apoya en el desarrollo de un 
Capacidad de Ciberinteligencia (CCI) cuyo rol es el de complementar y salvar 
las limitaciones de los modelos tradicionales de ciberseguridad como la seguridad 
operativa y la respuesta a incidentes de seguridad en redes de compute conocidas 
como CERT/CSIRT. A tal fin se presenta el ’’Modelo de Sistema Ofensivo de 
Referencia” (MSOR), recurso conceptual desarrollado con el objetivo de contar 
con una herramienta base para el analisis, el diseho, el desarrollo, la operacion 
y el mantenimiento de la CCI, aplicable a cualquier tipo de escenario y a todo 
nivel, estrategico, operacional y tactico. 

Es importante considerar que a lo largo del trabajo se utilizara cierto tipo de 
lenguaje especffico del dominio militar como campanas, operaciones, conflicto, 
tecnicas, tdcticas y procedimientos (TTP) el cual, por la naturaleza del trabajo, 
aplica de igual manera al dominio civil. 


2. Interes publico 

El presente trabajo constituye un aporte teorico destinado a sustentar el 
desarrollo de capacidades de ciberseguridad para organizaciones con requeri- 
mientos fuertes de seguridad de la informacion. Resulta de especial interes para 
su aplicacion en organizaciones vinculadas directamente con la tematica de in- 


fraestructuras critica nacional [5] en base a lo establecido por el “Programa 
Nacional de Infraestructuras Criticas de Informacion y Ciberseguridad” (ICIC) 
creado mediante la Resolucion JGM N° 580/2011 [6]. 

3. Internet como bianco 

En esta seccion se analizan conceptos fundament ales relacionados con el ci- 
berespacio como bianco potencial para diferentes tipos de amenazas. Debido a 
su caracter estrategico y a la transversalidad de la informacion en todos los do- 
minios de la sociedad moderna, la ciberseguridad se vuelve un factor clave. Un 
aspecto importante a considerar es la dependencia de cada vez mas procesos 
y funciones de mision critica vinculadas al desempeiio de servicios y funciones 
elementales para la vida de las sociedades modernas. Esta dependencia trascien- 
de fronteras geograficas y geopoliticas, civiles y militares, piiblicas y privadas. 
El ciberespacio esta distribuido mundialmente y se encuentra integrado a las 
Infraestructuras Criticas (IC) de las diversas naciones del mundo, vinculado de 
manera directa con su gestion y operacion. El grado de desarrollo y dependencia 
sobre este hacen que resulte un active clave para el desarrollo de aspectos tan 
fundament ales como el gobierno, el comer cio, y la seguridad entre otros. 

Ciberespacio: Entorno complejo que resulta de la interaccion de las perso¬ 
nas, el software y los servicios a traves de Internet por medio de dispositivos 
tecnologicos y redes conectadas a esta, que no posee entidad fisica [7] . 

El ciberespacio, por su importancia, es actualmente sujeto de operaciones de 
tipo ofensivas cuya motivacion varia segiin el tipo de amenaza, a saber: 

1. Estados Nacion: Este tipo de amenaza es la mas peligrosa debido a la capa- 
cidad de acceso a recursos en periodos prolongados de tiempo. Las naciones 
pueden hacer uso de operaciones en el ciberespacio (OC) con el objetivo 
de atacar recursos de IC o desarrollar espionaje. En este contexto deben 
ser considerados los adversarios tradicionales, los que podran ejecutar las 
operaciones de manera directa o a traves de servicios contratados a terceros. 

2. Grupos Organizados Transnacionales: Conformadas por organizacio- 
nes que no se encuentran vinculadas a ninguna nacion, con la capacidad 
de actuar a nivel global. Este tipo de actores utiliza el ciberespacio para 
desarrollar sus actividades ilicitas como robo, fraude, e incluso para desa¬ 
rrollar operaciones de desestabilizacion de gobiernos y ataques terroristas. 
En este sentido, el ciberespacio sirve de plataforma para la planificacion y 
sincronizacion de las operaciones irregulares, y para la comunicacion entre 
sus componentes. Este tipo de amenaza es utilizada por naciones de mundo 
u organizaciones privadas para desarrollar ataques o espionaje mediante OC. 

3. Pequenos grupos o individuos: Este tipo de amenaza en general se mani- 
fiesta en terminos de interrupcion de servicios o de accesos no autorizados a 
recursos clasificados. Pueden ser utilizados por estados nacion u organizacio¬ 
nes criminales para externalizar operaciones y asi deslindar responsabilidad. 


Existen t ant as motivaciones como individuos, algunas de las cuales pueden 
sostener posiciones maliciosas. Un ejemplos de esto lo constituye el ciberac- 
tivismo. 

4. Amenaza interna: Conformada por individuos con privilegios licitos de 
acceso a los recursos de informacion de una organizacion. A1 igual que con 
actores individuales, estos poseen infinitas motivaciones. 

3.1. El rol del sector privado 

Muchos de los recursos en base a los cuales se sostiene la ciberseguridad y 
la defensa nacional se sostienen en infraestructuras que son propiedad o que se 
encuentran operadas por organizaciones del sector privado. Este hecho plantea 
al menos dos efectos que deben ser atendidos. El primero de ellos enfocado en 
la necesidad de crear conciencia en los proveedores de servicios sobre aspectos 
de seguridad con el fin de hacerlos parte en estrategias colectivas de gestion 
de riesgos. El segundo se debe a la necesidad de poder contar con los recursos 
privados vinculados a las operaciones de infraestructura crftica en operaciones 
conjuntas con el objetivo de responder a incidentes de seguridad. 

3.2. Tipos de operaciones 

El logro de objetivos en el contexto de seguridad en el ciberespacio contempla 
la ejecucion de operaciones ofensivas, defensivas y de inteligencia. 

1. Operaciones Ofensivas: Tienen como objetivo proyectar poder en y a 
traves del ciberespacio. Se basan en acciones destinadas a evitar que el adver- 
sario haga uso de los recursos (ej.: degradacion, interrupcion o destruccion), 
o a obtener el control o a la modificacion de los mismos. 

2. Operaciones Defensivas: Tienen como objetivo defender el ciberespacio 
propio y el de los aliados, preservando la funcionalidad de todas las capaci- 
dades y servicios necesarios. Existen dos tipos: 

■ Ciberdefensa Pasiva: Es la defensa del ciberespacio basada principalmen- 
te en la aplicacion de controles de seguridad dentro de los perfmetros de 
las redes y sistemas propios. 

■ Ciberdefensa Activa: Tomando la definicion de Dewar [8] , y extendiendo 
los conceptos al nivel estrategico, puede establecerse que la ciberdefen¬ 
sa activa constituye un enfoque por medio del cual se puede lograr la 
seguridad del ciberespacio por medio del despliegue de medidas destina¬ 
das a detectar, analizar, identificar y mitigar las amenazas hacia y desde 
los sistemas de comunicaciones y redes, en escalas de tiempo que van 
desde lo instantaneo (tiempo real) hasta afios, combinado con la capaci- 
dad y los recursos para tomar medidas proactivas u ofensivas contra las 
amenazas en sus propias redes. 

3. Operaciones de Inteligencia (Cl): Acciones destinadas a generar el co- 
nocimiento necesario para soportar operaciones militares en curso o como 
soporte de misiones a future. Ademas, sobre la base de contrainteligencia, 
desinforma o engafia al adversario sobre diferentes componentes del MSOR. 


3.3. Comando y Control (C2) 

El Comando y Control es la funcion que conlleva el ejercicio de la autoridad y 
la direccion de las fuerzas por parte de las autoridades vinculadas a las operacio- 
nes en los diferentes ambitos de TIC en vias del cumplimiento de una mision. En 
este sentido, el acceso a informacion exacta y en tiempo favorece la percepcion 
de los responsables y aumenta la calidad del proceso de toma de decisiones. 

3.4. Consideraciones sobre la seleccion de blancos 

La seleccion de blancos en el ciberespacio es un proceso destinado a identifi- 
car y priorizar blancos potenciales en vias del cumplimiento de una mision. La 
seleccion y la determinacion de las acciones a ejecutar por parte de la amena- 
zas contra estos dependera de la motivacion, de los recursos y las capacidades 
operativas. El objetivo final del proceso de seleccion de blancos consiste en lo- 
grar la integracion y sincronizacion de la transferencia de efectos de poder. La 
naturaleza del ciberespacio plantea desaffos fundamentales en lo que hace a la 
seleccion de blancos para el desarrollo de operaciones de tipo defensivas debido a 
las implicancias polfticas internacionales y a la generacion de efectos colaterales 
y en cadena que pueden generarse. 

4. Inteligencia en el ciberespacio 

El logro de los objetivos de seguridad en el ciberespacio requiere de la rea- 
lizacion de suposiciones en relacion a las condiciones operativas vigentes en el 
mismo. En este contexto, la inteligencia en el ciberespacio (CIBERINTEL) apor- 
ta los recursos necesarios para confirmar o corregir los supuestos y asf afectar 
significativamente los niveles de riesgo asociados al escenario operacional. 


4.1. Consideraciones conceptuales 

La CIBERINTEL constituye un recurso de naturaleza compleja que, a pe- 
sar de no contar aiin con una definicion ni con un marco conceptual unificado, 
resulta imprescindible como herramienta en el contexto de ciberseguridad tanto 
en el piano estrategico como en el operative y el tactico. En este sentido, la 
inteligencia debe derivarse de los pianos ffsico, logico y cognitive por medio de 
las tecnicas que resulten convenientes. Como tal, y para el caso de analisis en el 
ciberespacio, debe poder ser sujeta a esquemas conceptuales y metodologicos que 
permitan abordar la problematica involucrando a todos los niveles de decision, 
y pueda aportarse una vista comiin de la situacion. 

La CIBERINTEL representa una disciplina analftica la cual se nutre de datos 
de diversos tipos de fuentes para generar informacion y conocimiento en base a 
evidencias. Esta debe trascender lo puramente tecnologico y absorber factores 
como el humano y el geopolftico, respondiendo a fuentes de informacion tanto 
internas como externas. 



4.2. Consideraciones tecnicas 


A los fines del presente trabajo, bastara con presentar un modelo basico para 
el desarrollo de inteligencia basado en las definiciones de indicadores y precur- 
sores. 

Indicador: Pieza de informacion asociada a la ocurrencia de un evento deter- 
minado con impacto en el modelo de negocios. 

Precursor: Pieza de informacion vinculada a la potencial ocurrencia de un even¬ 
to con impacto. 

La capacidad de desarrollar inteligencia se basa entonces en la identificacion y 
obtencion de un conjunto de indicadores y precursores por medio de procesos de 
identificacion, agregacion, analisis, fusion y presentacion de informacion con un 
fuerte componentes de colaboracion. Los indicadores y precursores deben poder 
ser sujetos a: 

■ Trazabilidad: Proceso por medio del cual tanto los indicadores como los 
precursores deben poder ser medidos en su evolucion. 

■ Validacion: Proceso por medio del cual, para un determinado instante, se 
logra establecer la validez del valor asociado a un indicador o precursor en 
funcion del conocimiento adquirido hasta ese precise instante. 

La trazabilidad y la validacion de indicadores y precursores constituyen re- 
cursos de valor fundamental para la CIBERINTEL. 

Capacidad dc Cibcrintcligencia (CCI): Recurso organizacional de caracter 
estrategico basado en un conjunto de herramientas, tecnicas, tacticas y procedi- 
mientos que, al ser explotados por personal calificado, permiten transformar la 
informacion obtenida de los diversos indicadores y precursores en conocimiento. 

La CCI debe desarrollar los recursos necesarios para poder hacer frente al 
desaffo de transformar informacion en conocimiento, tal como lo indica la si- 
guiente tabla, en el contexto de las leyes y tratados nacionales e internacionales: 


Informacion 

Inteligencia 

Cruda, alimentacion sin filtros 

Procesada y ordenada 

No evaluada al ser distribuida 

Evaluada e interpretada por analistas 
de inteligencia entrenados 

Agregada desde cualquier fuente 

Agregada desde fuentes confiables y ve- 
rificada por medio de correlacion 

Puede ser verdadera, falsa, engafiosa, 
incompleta, relevante o irrelevante 

Exacta, en tiempo, completa (en medi- 
da de lo posible), y evaluada para de- 
terminar su relevancia 

No accionable 

Accionable 




5. Modelo de Sistema Ofensivo de Referencia 


En el presente capitulo se presenta el ’’Modelo de Sistema Ofensivo de Refe¬ 
rencia” (MSOR). El MSOR constituye un modelo teorico de procesos que destaca 
los aspectos funcionales y los fiujos de informacion involucrados en escenarios de 
confiicto en sus tres niveles, estrategico, operacional y tactico. Como se podra ver 
en el desarrollo del mismo, se hace uso de terminologia que per mite formalizar 
conceptos la cual deriva de conceptos utilizados en el dominio militar, aunque 
con aplicacion directa a los ambitos publico y privado. Los procesos que confor- 
man el MSOR son: 1) Proceso de Surgimiento del Conflieto (PSC), 2) Proeeso 
de Planifieaeion Estrategiea (PPE), 3) Proeeso de Ejeeueion de Operaeiones 
(POC), y 4) Proeeso de Evaluaeion de Resultados (PER). A continuacion, en la 
Eigura 1 se muestra la estructura logica del MSOR y se desarrollara cada uno 
de los procesos en el orden previsto por el sistema. 



Figural. Modelo de Sistema Ofensivo de Referencia” (MSOR) 


5.1. Proceso de Surgimiento del Confiicto (PSC) 

En la Eigura 2 puede verse una representacion del proceso PSC. 



Figura2. Proceso de Surgimiento del Confiicto (PSC) 


PSC.l Situacion interna y geopolftica 

Conceptualmente, el MSOR toma un estado inicial de equilibrio definido por 
la inexistencia de confiicto. En este contexto, tanto los servicios de soporte como 
















las capacidades existentes se encuentran preparadas para actuar y en permanen- 
te actualizacion. 

PSC.2 Gestion de Riesgos 

La apertura del ciberespacio hace que deba realizarse una reconceptualiza- 
cion de la seguridad en sus diferentes niveles, nacional, regional, y global. La 
gestion de riesgos se consolida como una herramienta estrategica destinada a 
reducir la incertidumbre y la impredecibilidad definida por las relaciones y las 
tensiones internas y externas. La gestion de riesgos es un proceso que posibilita 
el tratamiento y la disminucion de las vulnerabilidades frente a las amenazas 
existentes. 

PSC.3 Desarrollo de Servicios 

El desarrollo de servicios involucra la creacion sistemas destinados a conso- 
lidar las politicas y los mecanismos de seguridad del ciberespacio con el fin de 
garantizar la continuidad del negocio. 

PSC.4 Desarrollo Legal Nacional e Internacional 

Toda organizacion piiblica o privada, especialmente aquellas que conforman 
la infraestructura crftica nacional, deben desarrollar sus actividades en el marco 
jurfdico existente, tanto a nivel nacional como internacional. 

PSC.5 Diplomacia 

Desde el mismo momento en que se reconoce que gran parte del desarrollo 
social y economico del mundo moderno depende fuertemente del ciberespacio, 
la diplomacia comienza a jugar un rol fundamental en la disputa de intereses 
en este dominio. Las relaciones entre organizaciones de los sectores publico y 
privado dependeran de las prioridades de cada una de ellas, en definitiva de sus 
intereses particulares. 

PSC.6 Declaracion del Conflicto 

En el MS OR, el surgimiento del conflicto de manera formal o informal cons- 
tituye el evento que saca al sistema de la estabilidad. Este se da ante alguna de 
las siguientes hipotesis: 

■ Cuando los esfuerzos diplomaticos son agotados y la crisis entre las organi¬ 
zaciones no puede ser solucionada por vfa de negociaciones pacfficas, 6 

■ Ante ataques irregulares. 

La declaracion del conflicto da inicio al segundo componente del MSOR, el 
proceso de PPE, en el que los niveles maximos de mando de las organizaciones 
inician la planificacion de las aciones. 

5.2. Proceso de Planificacion Estrategica (PPE) 

El PPE establece la forma general en la que se planiflcan, preparan, ejecu- 
tan y evaliian los resultados tanto a nivel estrategico como operacional de las 



actividades de aseguramiento del ciberespacio. Debido a las caracteristicas de 
transversalidad del ciberespacio en los que hace a infraestructura critica, tanto 
piiblica como privada, el analisis de los resultados y de los efectos potenciales de 
toda accion debe ser determinado a priori, de manera minuciosa, apoyados en el 
conocimiento necesario que surja de la inteligencia aplicada al contexto definido. 

Planificacion: Proceso analitico que aporta los detalles sobre los recursos, 
las funciones y la sincronizacion entre las diferentes capacidades necesarios para 
cuuiplir con los objetivos de negocio a nivel organizacion con caracter local o 
global. 

El PPE, tornado del proceso de planificacion conjunta de las EE:AA de los 
EE:UU por su simplicidad y alcance [9], permite la transformacion de objetivos 
estrategicos en actividades que se manifiestan en terminos de proyectos y tareas 
sustentados en las capacidades operacionales establecidas. En la Eigura 3 se 
muestra una representacion del PPE: 



Figura 3. Proceso de Planificacion Estrategica (PSC) 


A continuacion se presentan las consideraciones asociadas a cada fase del 
PPE. 

PPE.l Inicio de la planificacion 

La integracion de las capacidades tecnologicas y del resto de las areas orga- 
nizativas vinculadas de manera directa e indirecta debe ser iniciada en la fase 
inicial de planificacion. Entre las principales acciones a desarrollar se destacan 
el analisis de la mision, la revision de documentos estrategicos, el analisis de los 
objetivos y la determinacion del alcance inicial de las operaciones, y la identifi- 
cacion de blancos potenciales derivados del proceso de gestion de riesgos, entre 
otras. 


PPE.2 Analisis de la mision 















El proposito de esta fase consiste en lograr una definicion clara de la mision 
y una evaluacion de los requerimientos a nivel organizacion. Desde la perspec- 
tiva operativa, como el ciberespacio cruza a muchos procesos de negocio, re¬ 
sult ara fundamental mantener el foco en los objetivos planteados originalmente 
en la planificacion. Algunas de las acciones claves de la fase de analisis son la 
identificacion de fuerzas aliadas y de los adversarios, la identificacion de factores 
criticos para la mision, la identificacion de los factores relevantes de los domi- 
nios ffsico, de informacion y cognitive en el ciberespacio, y el establecimiento del 
criterio de exito de la mision, entre otros. 

PPE.3 Desarrollo de los cursos de accion 

En el desarrollo de los cursos de accion (CD A) se explot an los productos 
derivados de la fase de analisis. Entre las funciones clave de esta fase se destacan 
la identificacion de los efectos deseados definidos por la mision al mas alto nivel 
organizativo y a nivel operacional, los efectos indeseados que pudiesen impactar 
de manera negativa en los objetivos, y el analisis e identificacion de los riesgos 
y controles complementarios, entre otros. 

PPE.4 Simulacion y analisis de CDA 

En base al tiempo disponible se debera simular cada propuesta de CDA en 
consideracion. Estas seran entonces contrastadas contra los CDA potenciales re- 
conocidos del adversario mediante la inteligencia adquirida. Algunas de las accio¬ 
nes destacadas son el analisis de cada CDA contra los requerimiento funcionales 
a nivel tactico, la redefinicion o ajuste de los requerimientos de inteligencia, el 
establecimiento de la informacion relevante para las operaciones, y la evaluacion 
del riesgo correspondiente, entre otros. 

PPE.5 Comparacion de CDA 

Esta fase requiere del analisis y la evaluacion de los diferentes CDA por parte 
de todo el personal involucrado, de las diferentes areas intervinientes. Se deter- 
minan y evaliian las fortalezas y debilidades de cada CDA desde las diferentes 
perspectivas presentes. Las acciones mas significativas en esta fase son el analisis 
y comparacion de cada CDA contra la mision y las tareas, y su priorizacion. 

PPE.6 Seleccion de CDA 

En esta fase, el personal relacionado con las OC plantea una recomendacion 
a los niveles gerenciales superiores, quiza a nivel de direccion, sobre la manera 
en la que el CDA seleccionado contribuye al logro de la mision. Es fundamental 
que la recomendacion sea realizada de manera clara y precisa para que pueda 
ser comprendida por todos los involucrados en la toma de decisiones. 

PPE.7 Desarrollo del plan 

Seleccionado y aprobado un CDA, el personal vinculado a las OC desarrolla 
el plan. Este debera considerar las cuestiones de integracion con todas las areas 
relacionadas a nivel organizacion para garantizar la efectividad del mismo. Las 



principales acciones de esta fase son la identificacion de las deficiencias de las 
capacidades involucradas en el CD A y la recomendacion de las soluciones, la 
indicacion a los gerentes y directores sobre posibles temas que afecten o puedan 
afectar a las OC, entre otros. 


5.3. Proceso de Operaciones en el Ciberespacio (POC) 

La etapa de ejecucion de las OC se sustenta en las capacidades desarrolla- 
das y establecidas a nivel organizacion y en la coordinacion global de recursos 
a nivel organizacion en un teatro de operaciones integrado y sincronizado en 
base al plan establecido. En este contexto, toda accion llevada adelante en el 
ciberespacio debera estar sometida a la autoridad relevante la cual dirigira las 
tareas para lograr sinergia entre los diferentes participantes. 

Operacion: Una secuencia de acciones a nivel tactico con el objetivo de cum- 
plir un objetivo comun. Dominio de accion que se desarrolla en el nivel tactico. 

Campana: Un conjunto de operaciones destinadas al cumplimiento de objeti- 
vos operacionales y estrategicos en un dado tiempo y espacio. Dominio de accion 
que se desarrolla en el nivel operacional. 

Para modelar el POC se propone un modelo basado en una adaptacion del 
Cyber Killchain de Hutchins, Cloppert y Amin [10] y de la doctrina ”F2T2EA” [TT] 
utilizada por las EE:AA de los EE:UU para la seleccion de objetivos. El POC 
puede ser pensado como una cadena de eventos centrado en una postura ofensi- 
va, analogia que sera de especial valor al momento de desarrollar estrategias de 
ciberseguridad. Asi, el POC constituye un modelo elemental por medio del cual 
resulta posible abstraer los detalles de comportamiento asociados a amenazas, 
con enfasis en el nivel tactico. En la Eigura 4 se presenta la estructura del pro¬ 
ceso POC: 



Figura4. Proceso de Operaciones en el Ciberespacio (POC) 













POC.l Analisis de Campanas 

El analisis de campanas constituye un recurso analitico cuyo proposito con- 
siste en determinar la manera en la que opera un adversario en el largo plazo. 
El analisis de campana permite obtener informacion sobre los patrones ofensi- 
vos del adversario, es decir sobre sus TTP, herramientas, blancos y formas de 
proceder para lograr sus objetivos estrategicos. Esto implica la identificacion de 
factores comunes en el analisis de indicadores y precursores sobre los cuales se 
desarrollara el conocimiento necesario para el diseno y seleccion de CDA defen¬ 
sives adecuados. Ofrece respuestas al iCdmo? y ^Para que? por sobre el iQue?. 

POC.2 Militarizacion 

Este eslabon de la cadena complementa a las fases de desarrollo de capaci- 
dades del MS OR, y responde a demandas generadas por la dinamica del cibe- 
respacio. En general son desarrollos de escala menor y a tiorizontes de tiempo 
considerablemente mas cortos. Apunta a completar las capacidades de manera 
dinamica en base a los requerimientos especificos del ambiente particular. 

POC.3 Validacion de blancos 

En base a los blancos seleccionados en las fases de planificacion, este eslabon 
del proceso consiste en la generacion de la inteligencia necesaria para su vali¬ 
dacion o para la modificacion de la lista. Ademas se preve el desarrollo de la 
inteligencia necesaria a fin de lograr el efecto deseado sobre estos. 

POC.4 Entrega 

Este eslabon tiene por objetivo la transmision del artefacto malicioso al am¬ 
biente objetivo. Los adjuntos de correo electronico, los sitios Web, y los medios 
de almacenamiento removibles de tipo USB conforman los ejemplos de vectores 
de entrega mas comunes. 

POC.5 Explotacion 

Una vez transmitido y entregado el artefacto, el eslabon de explotacion dis- 
para o inicia el codigo malicioso. Normalmente, la explotacion consiste en la 
utilizacion de vulnerabilidades a nivel de sistema operative o aplicaciones, de 
caracterfsticas o funcionalidades asociados a las TIC, y/6 mediante tecnicas co- 
mo el abuso de la confianza de usuarios por medio de ataques de ingenierfa social. 

POC.6 Instalacion 

En general, este eslabon es el que permite establecer y consolidar la presen- 
cia en los ambient es de informacion del adversario. Consiste en la instalacion de 
troyanos o puertas traseras, de tal manera de lograr acceso con caracterfsticas 
de persistencia en el ambiente objetivo. 

POC.7 Comando y Control (C2) 

Una vez consumada la ejecucion, la entidad comprometida envfa una serial 
a un controlador por medio de Internet con el fin de establecer un canal de tipo 



C2. Una vez establecido el canal, el adversario posee acceso al ambiente objetivo 
para desarrollar el plan previsto. 

POC.8 Acciones y Objetivos 

En este eslabon del POC, y luego de haber cumplido con exito las primeras 
siete fases, el adversario posee el acceso necesario en el ambiente objetivo como 
para desarrollar el plan ofensivo y lograr sus objetivos. Los ataques pueden estar 
dirigidos a la obtencion de resultados cibercineticos directos o indirectos sobre 
componentes de infraestructura, de infraestructura critica, o a la generacion de 
plataformas de relevo en base a las cuales operar sobre otros objetivos locales o 
por medio de Internet. 

Sobre la ciberdefensa proactiva 

Desde una perspectiva de defensa, del modelo POC surge claramente un 
quiebre en sus eslabones medios. La segunda mitad de la cadena, a partir del es¬ 
labon de explotacion, contempla el conjunto de acciones vinculadas directamente 
a la obtencion de los resultados por parte del adversario. Es sobre esta segunda 
mitad que se aplica el paradigma tradicional de ciberseguridad sustentado prin- 
cipalmente en los modelos tradicionales de gestion de incidentes de seguridad 
(CSIRT). 

Este paradigma de seguridad posee una limitacion fundamental, su reacti- 
vidad. Esta caracteristica obedece al hecho de que la gestion de incidentes, la 
respuesta, presupone que el adversario ha logrado penetrar los sistemas de algu- 
na manera, o que esta en vias de hacerlo. En la Eigura 5 se muestra el modelo 
POC y los paradigmas de seguridad posibles planteados en base a lo expuesto. 



Figura5. POC y paradigmas de ciberseguridad 












5.4. Proceso de Evaluacion de Resultados (PER) 


La evaluacion de los resultados de las OC debe ser implementada como una 
herramienta a todos los niveles de conflicto en el ciberespacio, tanto en las fases 
de planificacion como de ejecucion. El proceso de evaluacion se sustenta en la 
siguiente serie de conceptos: 1) Evaluacion de los efectos de las operaciones y las 
campanas, 2) Determinacion del grado de avance sobre los objetivos, 3) Mejoras 
para el desarrollo de futuras acciones, 4) Produccion de la realimentacion nece- 
saria para la toma de decisiones, y 5) Aportacion de datos para la determinacion 
del retorno de la inversion. En la Eigura 6 se presenta la estructura del PER. 
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Figura6. Proceso de Evaluacion de Resultados (PER) 


Las evaluaciones pueden ser implementadas a nivel tactico para determinar 
la efectividad de las operaciones, y a nivel operacional para establecer la efecti- 
vidad de las estrategias implementadas y asi poder generar recomendaciones a 
los diferentes niveles de mando. 

PER.l Evaluacion de Nivel Tactico 

Consiste en la determinacion de la efectividad de las operaciones tacticas en 
base a la recoleccion y el analisis de un conjunto de indicadores tacticos obje¬ 
tivos, de tipo cualitativo y cuantitativo, previamente definidos en las fases de 
planificacion. El resultado de este tipo de evaluacion indica a los mandos medios 
y altos de mando la necesidad o no de desarrollar mas acciones. La determina¬ 
cion del exito de la mision y del efecto generado se logra por medio del analisis 
y la generacion de inteligencia utilizando medios tales como SIGINT, GEOINT, 
OSINT, HUMINT y GIBERINTEL derivada. 

PER.2 Evaluacion de Nivel Operacional y Estrategico 

Brinda una herramienta destinada a soportar el juicio analftico de la estrate- 
gia implementada, es decir de los fines, las formas y los medios empleados para el 
logro de los objetivos. Permite determinar el progreso en el esfuerzo para lograr 
los objetivos operacionales y estrategicos planteados, y en base a este se genera 
informacion de realimentacion destinada a ajustar la estrategia y los posibles 
GDA futuros. 





6. Ciberseguridad Inteligente 


Tanto los modelos MS OR y POC, como las consideraciones especfficas de 
inteligencia y su aplicacion al ciberespacio planteados en los capitulos anteriores 
son utilizados en el presente capitulo para presentar un marco teorico de ciber¬ 
seguridad centrado en inteligencia, Ciberseguridad Inteligente (CSI). La CSI se 
sustenta en el diseno, la implementacion, la operacion y el mantenimiento de 
una capacidad de ciberinteligencia como complemento de las capacidades tra- 
dicionales de proteccion del ciberespacio. La CSI logra su objetivo por medio 
de la creacion de inteligencia producto de los Contextos de Informacion (CXI) 
derivados de cada una de las fases del MSOR. 

La base conceptual de la propuesta de CSI es motivada por la idea de despla- 
zar al adversario hacia una postura reactiva en sus fiujos de decision en los niveles 
estrategicos, operacional y tactico del confiicto, y asi obligarlo a ajustar de ma- 
nera permanente sus objetivos, recursos y operaciones. Este cambio permanente 
en la dinamica de decision derivara en mayores tiempos y costos vinculados a los 
diferentes procesos involucrados en el logro de su mision. Se cree que el modelo 
que sustenta la CCI plantea una alternativa viable a la maxima en seguridad: 

que ataca siempre posee la ventaja^\ A continuacion se presenta un ejem- 
plo sobre el cual se desarrolla el concepto que da entidad a la CSI y justifica el 
desarrollo de la CCI como recurso necesario para la ciberseguridad. 


6.1. Nivel tactico del ciberconflicto 

Nivel tdetieo: ’’Nivel en el que se planifican y ejecutan las operaciones des- 
tinadas a conducir al logro de los objetivos por parte de las unidades tacticas, 
es decir del personal tecnico especializado de campo. Se trata de la organizacion 
y maniobra de los elementos de accion en relacion a sus pares, y para con el 
adversario” m- 

Constituye el nivel en el que se desarrollan las acciones y en el que se genera 
el impacto sobre la infraestructura del adversario. Aqm es donde la accion se 
desarrolla, donde se enfrentan defensores y atacantes empleando sus arsenales, 
donde se explotan las vulnerabilidades. El nivel tactico, desde la perspectiva de 
ciberseguridad, presupone que el adversario ya ha logrado establecer presencia 
o que se encuentra muy proximo a lograrlo. Es el nivel del ciberconflicto que 
se vincula con la segunda parte del POC y que conceptualmente se ejecuta a 
la velocidad de la red, es decir en el que las acciones se consuman en el orden 
de milisegundos. El nivel tactico del ciberconflicto se relaciona con los eslabo- 
nes: a) POC.3 Entrega, b) POC.4 Explotacion, c) POC.5 Instalacion, d) POC.6 
Comando y Control (C2), y e) POC.7 Acciones sobre los objetivos; del modelo 
MSOR. La Eigura 7 muestra un posible CD A basado en acciones de defensa. 

El desarrollo del los CDA apropiados para cada situacion se desprendera de 
la inteligencia que surja al explotar los contextos de informacion de nivel tactico. 
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Figura 7. CDA a nivel tactico (I) 


6.2. Nivel operacional del ciberconflicto 


Nivel operacional: “Nivel en el que se planifican, conducen y mantienen las 
campanas u operaciones mayores con el fin de lograr los objetivos estrategicos”. 

La decision de un adversario sobre la aplicacion de una accion ofensiva, la 
planificacion y la logfstica necesarias, y las capacidades y los recursos necesarios 
para llevarla adelante requieren de una serie de actividades que distan mucho 
de ser automaticas y de ejecutarse a velocidades cercanas a la de la red. Estas 
requieren de una dimension de tiempo diferente, mayor, la cual puede ser de 
dfas, semanas e incluso afios para el caso de las APT. La posibilidad de combi- 
nar datos del pasado en base a la evidencia registrada a nivel de red con datos 
relativos a la situacion local y global, a los confiictos regionales existentes, a 
las potenciales decisiones o acciones que tomara el adversario, a sus capacida¬ 
des y objetivos finales, permitira obtener la inteligencia necesaria para operar y 
obtener ventaja competitiva. Esta vision es la que justifica el desarrollo de inteli¬ 
gencia en los niveles operacional y estrategico. La Eigura 8 muestra los eslabones 
correspondientes al nivel operacional. 
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Figura 8. CDA a nivel tactico (II) 










El nivel operacional alcanza en particular a los niveles medio de mando cuya 
responsabilidad radica en establecer los recursos tecnologicos y de seguridad ne- 
cesarios como soporte de la mision y el logro de los objetivos. Cuanto mas se sepa 
sobre los objetivos y las capacidades de un adversario, mejor se estara preparado 
para desarrollar un defensa proactiva. El nivel operacional del ciberconfiicto se 
relaciona directamente con los eslabones: a) POC.l Gestion de Campafias, b) 
POC.2 Militarizacion, y c) POC.3 Validacion de objetivos; del MSOR. 

Analisis y correlacion de campanas 

El analisis de campafias permite detectar patrones comunes de comporta- 
miento al analizar y correlacionar diferentes CD A. La Eigura 9 evidencia el 
analisis de campafia en base a la correlacion de dos CD A vinculados a OC. 



Figura 9. Correlacion de CDA 


Indicadores y precursores clave de campafia: Son aquellos que resultan mas 
confiables, y sobre los cuales se sustenta la priorizacion y el desarrollo de los CDA. 

Los indicadores y precursores clave resultan menos volatiles que el resto y 
por consiguiente conforman la base de analisis. En este sentido, la calidad de la 
informacion derivada de este tipo de datos permite explotar la persistencia del 





























































adversario en beneficio propio. Dos recursos de valor aportados por el analisis 
de campanas: 

1. Sobre la atribucion: El analisis de campanas puede aportar una herramienta 
para identificacion positiva. 

2. Sobre los objetivos del adversario: La determinacion de los objetivos del 
adversario, de su mision, requiere de la determinacion de tendencias en la 
seleccion de objetivos. 


La Figura 10 presenta un ejemplo de indicadores y precursores clave. 
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Figura 10. Ejemplo de indicadores clave en una campana 



































































































6.3. Nivel estrategico del ciberconflicto 

Nivel estrategico: Es el nivel en el que una organizacion, como tal o como 
parte de un grupo, establece los objetivos estrategicos de seguridad y la orien- 
tacion a seguir, y hace uso de los recursos de los que dispone para conseguirlos. 

Este nivel conceptual del ciberconflicto involucra la toma de decisiones en los 
maximos niveles de responsabilidad de la organizacion y probablemente, para los 
casos en que se involucre infraestructura crftica, a organismos del estado tanto 
civiles como militares. Ann en tiempos de paz, la informacion aportada por los 
indicadores y precursores clave aportan datos fundamentales para visualizar los 
cambios en los escenarios de riesgo asociado a ciertas amenazas. 

El nivel estrategico alcanza a los siguientes componentes del MSOR: a) PSC.l 
Situacion interna y geopolftica, b) PSC.2 Gestion de Riesgos, c) PSC.3 Desa- 
rrollo de Capacidades, d) PSC.4 Desarrollo Legal Nacional e Internacional, e) 
PSC.5 Diplomacia, f) PSC.6 Declaracion del Conflicto, g) PPE.l Inicio de la 
planificacion, ti) PPE.2 Analisis de la mision, i) PPE.3 Desarrollo de los CDA, j) 
PPE.4 Simulacion y analisis de CDA, k) PPE.5 Comparacion de CDA, 1) PPE.6 
Seleccion de CDA, y m) PPE.7 Desarrollo del plan. 

El analisis del contexto de informacion asociado a los proceso PSC y PPE 
debe aportar la inteligencia necesaria para le modelo en base a interrogantes 
tales como: 

■ ^Quien es el adversario y a que obedece su comportamiento a largo plazo? 

■ ^Cuales son los blancos potenciales? 

■ ^Que tan import antes o valiosos son estos recursos? 

■ iQne tan bien se esta protegiendo a estos recursos en la actualidad? 

■ ^Que debilidades tenemos que puedan ser explotadas por el adversario? 

■ ^En que jurisdicciones se desarrolla el conflicto? 

■ ^Cual es la autoridad en dichas jurisdicciones? 

■ ^Cual es el marco legal aplicable al conflicto? 

El nivel estrategico requiere ademas que se consideren las cuestiones vincu- 
ladas a las infraestructuras crfticas de la nacion que con llevan una complejidad 
elevada desde la perspectiva de integracion y cooperacion debido a la naturaleza 
mixta dada por las divergencias entre propiedad y operacion de las mismas. 

7. Justificacion del modelo desde la logica del C2 

En el presente capftulo se ofrecera una justificacion de la propuesta de CSI 
desde la perspectiva de comando y control (C2) en base a un analisis muy elemen¬ 
tal soportado por los modelos CODA y de Brehmer para sistemas de control. 
El modelo CODA de Boyd [13] es utilizado como base para la generacion de 
doctrinas y sistemas de C2 en el mundo. La Eigura 11 muestra su estructura 
fundamental: 



Figurall. Modelo OODA de Boyd 


OODA constituye un modelo conceptual sobre el cual es posible pensar el 
conflicto. Responde funcionalmente a la idea de un bucle realiment ado, que si 
bien es criticado por algunos [14] [15], a los fines del presente trabajo result a 
suficiente por lo que se aplicara al ciberespacio para generar una abstraccion 
de las generalidades de la teorfa del C2. A la ventaja aportada por el ciberes¬ 
pacio en terminos de observacion y orientacion por el concepto de GCR desde 
lo ofensivo, la GDI plantea una estrategia antagonica de ciberdefensa centrada 
en el desarrollo de interferencia de informacion en base a la utilizacion de la 
CGI para limitar o alterar la informacion de contexto que el adversario necesita 
para actuar. La interferencia, para que resulte litil en terminos de afectacion del 
sistema C2, debe ser lograda con la velocidad necesaria, hecho que se ajusta a 
la teorfa general del conflicto en el que la velocidad es un factor clave de exito 
segun Liddel Hart m- La CGI puede pensarse como un instrumento destinado 
a penetrar el bucle OODA del adversario en las fases de observacion y orienta¬ 
cion con el fin de lograr ventajas, tanto en confiictos simetricos como asimetricos. 

El modelo OODA posee una limitacion fundamental desde la perspectiva 
del C2 moderno dado por la falta de precision en la definicion de los retardos 
generados a nivel sistemico ya que solo considera el tiempo asociado a la toma de 
decisiones. Para salvar esta limitacion y hacer aun mas robust a la justificacion del 
modelo de CSI planteado se recurre al modelo de control aportado por Brehmer 
m en el que se consideran todos los retardos presentes en todo sistema de 
control, a saber: tiempo muerto, tiempos constantes, retardos de informaeion y 
tiempo de deeision. 

Segun este modelo, la interferencia de informacion lograda por la CGI sobre 
la estructura de C2 del adversario puede tener efecto sobre otras fases de control, 
mas alia de la de toma de decision. Por ejemplo, podrfa producirse interferencia 
en forma de alteracion de informacion sobre los datos asociados a la fase de 
resultados del modelo, retardando o engaiiando al adversario en relacion a los 
result ados logrados por medio de las operaciones desarrolladas. 
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Figural2. Modelo de control de Brehmer 


8. Conclusiones 


Como conclusion puede argumentarse que independientemente de la fase del 
MS OR con la que se este tratando para lograr interferir en el bucle de decision 
del adversario, y a diferencia de algunas concepciones tradicionales sobre el con- 
fiicto como la de Clausewitz m en la que la velocidad solo debe darse en el 
ataque y no en la defensa, la defensa del ciberespacio requiere ser mas rapido 
que el adversario. Este hecho se enfatiza en escenarios de conflicto asimetricos y 
contra amenazas de tipo APT. La propuesta de CSI busca afectar los tiempos 
en los bucles de control y asi alterar de manera adversa las cuestiones de sincro- 
nizacion vinculadas a los esquemas de C2. 

El presente trabajo presenta un modelo de Ciberseguridad Inteligente (GDI) 
sustentado en el desarrollo de una Capacidad de Ciberinteligencia (CCI) como 
complemento a las capacidades tradicionales asociadas a la seguridad operativa 
y a la gestion de incidentes de seguridad en el ciberespacio. A tal fin se presenta 
el Modelo de Sistema Ofensivo de Referenda (MSOR) el cual es utilizado para 
pensar el ciberconfiicto a todo nivel, desde una perspectiva coordinada y sincro- 
nizada con el resto de las fuerzas tradicionales en el marco del conjunto. La CSI 
se logra por medio de la formalizacion teorica y el desarrollo de una CCI destina- 
da a detectar, denegar, interrumpir, degradar, engafiar y destruir las capacidades 
de inteligencia del adversario, por medio de la aplicacion de una estrategia cen- 
trada en la interferencia de informacion vinculada a los sistemas C2, penetrando 
sus bucles de decision con la velocidad necesaria, a fin de lograr que este se posi- 
cione en una postura reactiva. La propuesta posee otra ventaja significativa y es 
que favorece el desarrollo de campafias por medio de la aplicacion de un marco 
agil en el contexto de asimetrfa de conflicto, aspecto a considerar al momento 
de tener que enfrentar a adversaries que representen amenazas de tipo APT. 
Einalmente, a diferencia de los modelos de defensa planteados clasicamente, el 
concepto de CSI sugiere que la ventaja en el conflicto puede ser obtenida por el 
defensor y no siempre por el atacante. 
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